Réduire la verbosité des journaux d’événements
27 octobre 2020
J’ai conçu un script en PowerShell dont la 1ère partie a pour objet de désactiver tous les journaux des applications et de services Microsoft Windows, visibles à partir de la console eventvwr.msc.
La 2e partie a pour objet de réduire la verbosité des autres journaux, grâce à la propriété TypesSupported. Par défaut, cette valeur est à 7 (1+2+4). Dans le script, je la passe à 3 (1+2).
- EVENTLOG_ERROR_TYPE (0x0001)
- EVENTLOG_WARNING_TYPE (0x0002)
- EVENTLOG_INFORMATION_TYPE (0x0004)
- EVENTLOG_AUDIT_SUCCESS (0x0008)
- EVENTLOG_AUDIT_FAILURE (0x0010)
Le script PowerShell
# 1ère partie : désactiver tous les journaux des applications et des services Microsoft Windows
$path='HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\WINEVT\Channels'
$key=Get-ChildItem -Path $path
$mask='^HKEY_LOCAL_MACHINE(.*)$'
ForEach($subkey in $key)
{
$path=$subkey.Name -Replace $mask,'HKLM:$1'
Set-Itemproperty -Path $path -Name 'Enabled' -value 0 -ErrorAction SilentlyContinue
}
# Réduction de la verbosité des autres journaux
$path='HKLM:\SYSTEM\CurrentControlSet\Services\EventLog'
$key=Get-ChildItem -Path $path
ForEach($subkey in $key)
{
$path=$subkey.Name -Replace $mask,'HKLM:$1'
$subkey=Get-ChildItem -Path $path
ForEach($subsubkey in $subkey)
{
$path=$subsubkey.Name -Replace $mask,'HKLM:$1'
Set-Itemproperty -Path $path -Name 'TypesSupported' -value 3 -ErrorAction SilentlyContinue
}
}